Attaque de ransomware sous faux drapeau de MuddyWater

Par Mezo en Logiciels malveillants, Menace persistante avancée (APT)

Se traduisent par :

Le groupe de cybercriminels iranien MuddyWater, parrainé par l'État et également connu sous les pseudonymes de Mango Sandstorm, Seedworm et Static Kitten, a été lié à une campagne sophistiquée de ransomware que les enquêteurs qualifient d'opération sous fausse bannière. Bien que l'intrusion ait initialement ressemblé à une opération classique de type « ransomware-as-a-service » (RaaS) utilisant le ransomware Chaos, une analyse plus approfondie a révélé des caractéristiques propres à une cyberattaque ciblée commanditée par un État et dissimulée sous couvert d'extorsion financière.

L'opération, identifiée début 2026, reposait en grande partie sur l'ingénierie sociale via Microsoft Teams. Les attaquants menaient des sessions d'interaction intensives avec leurs victimes, exploitant le partage d'écran pour récupérer leurs identifiants et manipuler les processus d'authentification multifacteurs. Une fois l'accès obtenu, les auteurs de la menace abandonnaient les tactiques traditionnelles de ransomware, telles que le chiffrement massif de fichiers, pour se concentrer sur le vol de données, la persistance furtive et l'accès réseau à long terme grâce à des outils de gestion à distance.

Table des matières

Techniques de cybercriminalité utilisées pour dissimuler des opérations étatiques

Les chercheurs estiment que cette campagne témoigne d'une volonté délibérée de MuddyWater de brouiller les pistes en adoptant des outils et des techniques couramment associés aux écosystèmes cybercriminels. Le groupe a progressivement intégré à ses opérations des logiciels malveillants clandestins et des frameworks d'accès à distance disponibles dans le commerce, notamment des outils tels que CastleRAT et Tsundere.

Cette tactique s'inscrit dans la continuité des précédentes campagnes de MuddyWater, qui mêlaient espionnage, activités destructrices et opérations de type ransomware. En 2020, le groupe a ciblé d'importantes organisations israéliennes à l'aide du chargeur PowGoop pour déployer une variante destructrice du ransomware Thanos. En 2023, Microsoft a établi un lien entre le groupe et DEV-1084, un acteur associé à DarkBit, lors d'attaques maquillées en incidents de ransomware. Fin 2025, des opérateurs liés à l'Iran étaient également soupçonnés d'avoir utilisé le ransomware Qilin contre un hôpital public israélien.

Des chercheurs en sécurité ont conclu que la dernière campagne impliquait probablement des opérateurs affiliés à l'Iran, opérant via des infrastructures cybercriminelles établies et poursuivant des objectifs géopolitiques plus larges. L'utilisation de Qilin et la participation à des écosystèmes affiliés à des groupes de ransomware ont vraisemblablement fourni une couverture opérationnelle, une possibilité de déni plausible et un accès à des capacités d'attaque sophistiquées, tout en permettant aux attaquants de contourner la surveillance renforcée d'Israël.

Chaos RaaS : un écosystème d’extorsion en pleine expansion

Chaos a émergé début 2025 en tant qu'opération de ransomware-as-a-service, connue pour ses tactiques agressives de double extorsion. Le groupe a promu son programme d'affiliation sur des forums clandestins de cybercriminalité tels que RAMP et RehubCom et a rapidement étendu sa portée opérationnelle.

Les campagnes de type « chaos » combinent généralement l’inondation de courriels, le phishing vocal et l’usurpation d’identité via Microsoft Teams, où les attaquants se font passer pour du personnel de support informatique. Les victimes sont manipulées pour installer des applications d’accès à distance comme Microsoft Quick Assist, ce qui permet aux attaquants de s’infiltrer dans les environnements d’entreprise avant d’élever leurs privilèges, de se déplacer latéralement et de déployer des rançongiciels.

Le groupe a également fait preuve de modèles d'extorsion de plus en plus agressifs :

Double extorsion par vol de données et demandes de rançon
Triple extorsion impliquant des menaces d'attaques par déni de service distribué (DDoS)
Quadruple tactique d'extorsion comprenant des menaces de contacter les clients, les partenaires ou les concurrents afin d'intensifier la pression sur les victimes

En mars 2026, Chaos avait revendiqué 36 victimes sur sa plateforme de fuites, la plupart des organisations étant situées aux États-Unis. Les secteurs de la construction, de la fabrication et des services aux entreprises figuraient parmi les plus touchés.

Anatomie de l’intrusion

Lors de l'intrusion analysée, les attaquants ont initié des conversations externes via Microsoft Teams avec les employés afin de gagner leur confiance et de les inciter à partager leur écran. Les comptes utilisateurs compromis ont ensuite été utilisés à des fins de reconnaissance, de persistance, de déplacement latéral et d'exfiltration de données.

Une fois connectés aux systèmes des victimes, les attaquants ont exécuté des commandes de reconnaissance, accédé aux fichiers liés au VPN et demandé aux utilisateurs de saisir manuellement leurs identifiants dans des documents texte créés localement. Dans plusieurs cas, AnyDesk a été installé pour renforcer les capacités d'accès à distance.

Les auteurs de la menace ont également utilisé le protocole RDP (Remote Desktop Protocol) pour récupérer un fichier exécutable nommé « ms_upd.exe » depuis le serveur externe à l'adresse 172.86.126.208, grâce à l'utilitaire curl. Une fois lancé, le logiciel malveillant a initié une chaîne d'infection en plusieurs étapes visant à déployer des composants malveillants supplémentaires et à établir des communications de commande et de contrôle persistantes.

L’arsenal de logiciels malveillants à l’origine de la campagne

La chaîne d'infection intégrait plusieurs composants de logiciels malveillants distincts qui fonctionnaient ensemble pour assurer la persistance et exécuter des commandes à distance :

'ms_upd.exe' (Stagecomp) a collecté des informations système et a contacté un serveur de commande et de contrôle pour télécharger des charges utiles secondaires, notamment 'game.exe', 'WebView2Loader.dll' et 'visualwincomp.txt'.
Le fichier « game.exe » (Darkcomp) fonctionnait comme un cheval de Troie d'accès à distance personnalisé se faisant passer pour une application Microsoft WebView2 légitime basée sur le projet officiel WebView2APISample.

Le fichier « WebView2Loader.dll » constituait une dépendance légitime requise pour le fonctionnement de Microsoft Edge WebView2.

Le fichier « visualwincomp.txt » contenait des données de configuration chiffrées utilisées par le RAT pour identifier l'infrastructure de commande et de contrôle.

Une fois activé, le cheval de Troie d'accès à distance communiquait en continu avec son serveur de commandes toutes les 60 secondes, permettant aux opérateurs d'exécuter des scripts PowerShell, d'exécuter des commandes système, de manipuler des fichiers et de lancer des sessions de ligne de commande interactives.

Preuves reliant l’opération à MuddyWater

L'attribution à MuddyWater a été renforcée par la découverte d'un certificat de signature de code associé à « Donald Gay », utilisé pour signer l'échantillon de logiciel malveillant « ms_upd.exe ». Ce même certificat avait déjà été lié à des logiciels malveillants de MuddyWater, notamment à une variante de téléchargement de CastleLoader connue sous le nom de Fakeset.

Les chercheurs ont constaté que l'opération révélait une convergence significative entre les activités d'espionnage d'État et les méthodes opérationnelles des cybercriminels. L'intégration de la marque « rançongiciel », des négociations d'extorsion et des frameworks de logiciels malveillants disponibles dans le commerce a compliqué les efforts d'attribution et a détourné l'attention des équipes de défense vers les réponses immédiates aux demandes de rançon, au détriment des mécanismes de persistance à long terme mis en place grâce à des outils d'accès à distance.

Pourquoi cette attaque s’est démarquée

L'un des aspects les plus inhabituels de cette campagne résidait dans l'absence apparente de chiffrement généralisé des fichiers, malgré l'utilisation d'artefacts du ransomware Chaos. Cet écart par rapport au comportement habituel des ransomwares suggère fortement que le composant ransomware servait principalement de camouflage ou de diversion opérationnelle, plutôt que de constituer l'objectif principal de la mission.

La campagne met également en lumière une tendance croissante chez les acteurs malveillants iraniens à intégrer des outils de cybercriminalité à leurs opérations étatiques. En exploitant les infrastructures clandestines et les écosystèmes de logiciels malveillants existants, des groupes comme MuddyWater gagnent en flexibilité opérationnelle, réduisent leurs coûts de développement interne et compliquent considérablement le travail d'attribution pour les équipes de défense et les analystes du renseignement.

Le dépôt de bilan de Digital River GmbH, le processeur de paiement d'EnigmaSoft, n'a pas d'impact sur la protection anti-malware des clients de SpyHunter

Rechercher

Changer de région

Attaque de ransomware sous faux drapeau de MuddyWater

Techniques de cybercriminalité utilisées pour dissimuler des opérations étatiques

Chaos RaaS : un écosystème d’extorsion en pleine expansion

Anatomie de l’intrusion

L’arsenal de logiciels malveillants à l’origine de la campagne

Preuves reliant l’opération à MuddyWater

Pourquoi cette attaque s’est démarquée

Soumettre un Commentaire

Tendance

Net Ransomware

Logiciel malveillant SNOW

Logiciel malveillant Tomodachi Life

Le plus regardé

Comment corriger l'erreur « Le pilote d'imprimante...

Discord affiche un écran noir lors du partage d'écran

Fuq.com